martes, 20 de octubre de 2015

Ekoparty 2015: Faraday Challenge.

Hola lectores!

En el post anterior prometi que iba a traer la resolucion de un reto de reversing. Pero hay algo mas importante por el momento... la Ekoparty 2015!

Ekoparty es una conferencia de seguridad informatica que se situa en Argentina-Buenos Aires, la cual congrega a varios de los mejores especialistas de seguridad informatica de todo el mundo.

Este año estare por alli, gracias a que InfoByte la empresa fundadora de la eko hace unas semanas lanzo un concurso para el desarrollo de plugins para su producto Faraday.
El premio era muy interesante: una entrada para cada persona que desarrolle un plugin util para Faraday, incluso podias ganar mas de una entrada si desarrollabas multiples plugins y los mejores 3 plugins obtenian una entrada VIP para la conferencia.

Lamentablemente no hubo muchos participantes, solo 1 persona ademas de mi participo.
De igual manera, fue muy interesante haber podido conocer y aportar a un proyecto como Faraday.
Ademas de que gracias a estos desarrollos me gane unas entradas para la conferencia :)

¿Que es Faraday?

Faraday es lo que se denomina un Integrated Penetration-Test Environment (IPE), un entorno de trabajo en donde uno tiene acceso a todas las herramientas que utiliza a la hora de un pentesting y permite integrar los resultados de cada herramienta en este entorno, con la caracteristica de compartir estos resultados con los otros miembros del equipo de pentesting.

Los plugins que la comunidad desarrolla estan orientados a integrar estas herramientas de pentesting con Faraday, de manera de alojar en el los resultados para que otros pentesters del equipo puedan acceder a los resultados y posteriormente analizarlos.

En mi caso desarrolle 2 plugins: pasteAnalyzer Plugin y traceroute Plugin.

El ultimo es un plugin sencillo que ejecuta el comando traceroute a un host determinado y luego crea una nota para este host en Faraday cuyo contenido es la salida del comando. Interesante para la fase de information gathering.

El primero es un plugin de integracion para pasteAnalyzer, una herramienta para la obtencion de Open Source Intelligence (OSINT) y el analisis de las mismas a traves de expresiones regulares. El plugin se encarga de crear un nuevo host en Faraday, al cual se carga todos los resultados encontrados.

¿En que se basa pasteAnalyzer?

pasteAnalyzer hace uso de Google Custom Search Engine para obtener links que contengan la palabra clave definida por el usuario, para que luego estos sean analizados a traves de expresiones regulares y poder extraer datos, como por ejemplo: Passwords, E-mails, Phone numbres, etc.

Es una herramienta interesante en la fase de information gathering, para por ejemplo analizar si una compania sufrio una brecha de seguridad anteriormente y sus datos fueron filtrados por la red. Para esto solo habria que definir la palabra clave (parametro -q) con el nombre de la compania y proporcionar las expresiones regulares correctas segun lo que se estima encontrar (por defecto viene con varias para detectar la mayoria de filtraciones de datos posibles).

Esta desarrollado con la idea de que sea lo mas flexible posible es por eso que utilize el Google Custom Search Engine y no modulos de terceros que con el tiempo pudiesen dejar de funcionar correctamente, ademas de esto las expresiones regulares utilizadas para el analisis son tomadas de un fichero por lo que el pentester puede adaptarlo a su gusto.

Para mas informacion pueden entrar al Github del proyecto, en donde esta explicado todo lo necesario para configurar la herramienta y poder utilizarla, ademas del source code.

Si tienen dudas o sugerencias, espero sus comentarios!
Saludos!